問題タブ [veracode]

ここで私のアプリケーションには、いくつかのメソッドとメインメソッドがあるという点でクラス testapp があります。veracode ツールを使用している場合、Veracode CWE-489:Leftover Debug Code というメイン メソッドに欠陥が表示されます。私の psvm main メソッドには、いくつかの Syso 行しかありません。

誰でもこの問題を解決する方法を教えてもらえますか?

veracode を使用してコードのセキュリティ分析を行っており、以下のコード、特に Deserialize() が呼び出される場所で XXE の欠陥を示しています。シリアライザが外部エンティティにアクセスできないようにするにはどうすればよいですか。XMLReader の XMLresolver を null に設定する以下の試みは機能しません。

私が欠けている可能性があるもの、または他に試してみるものがあるかどうかを誰かが提案できますか.

次の Coldfusion コードは、静的コード アナライザー Veracode.com によってテストされました。

私は結果を得る：

Veracode は、Coldfusion コード自体をスキャンしません。アドビが提供するツールでプリコンパイルする必要があります。ただし、Veracode Web サイトに表示される結果は、正しい行番号を示しています。したがって、私は間違った行を指しているのではないかと疑っています。HTMLEditFormat()最初のスキャン結果が戻ってきた後に入れましたが、エラーは残ります。

このコードはどのようにして XSS を引き起こすのでしょうか? 呼び出しcoldfusion.runtime.Cast._doubleで XSS が発生する可能性はありますか? 無効な値が double にキャストされると、Coldfusion は例外をスローします。Form-scope 変数を使用していたときに、同様のエラーが発生しました。場合によっては、フォームの使用を単純に置き換えることができます。cfloop from toI got resultの別の発生時Attack Vector: coldfusion.runtime.Cast._int。なぜ Veracode は double へのキャストと int へのキャストがあると主張することがありますか?

この場合、どうすればいいのかまったくわかりません。Form スコープの変数が計算で使用されている場合、どうすればよいでしょうか。まずアプリケーションを保護し、次に Veracode を満たすために。

最近、脆弱性テストに Veracode の使用を開始しました。すべてのサードパーティ ライブラリを選択的に除外し、スキャンを内部ライブラリ コードのみに集中させる方法はありますか?

一部の古いレガシー アプリに対して Veracode のセキュリティ監査を行ったところ、外部エンティティ (XXE) 攻撃に対して脆弱であることがわかりました。私はほとんどの問題を修正しましたが、対処方法がわからないコードに出くわしました。ここの誰かが私に方向性を教えてくれることを願っています. 関連するコードは次のとおりです。

問題は次のコードにあります。

Veracode によると、上記のスニペットの問題は「XML 外部エンティティ参照 ('XXE') の不適切な制限」です。CWE リストによると、これは「ソフトウェアが、意図した制御範囲外のドキュメントに解決される URI を持つ XML エンティティを含む可能性のある XML ドキュメントを処理し、製品が誤ったドキュメントを出力に埋め込む」ことを意味します。

コードを修正するために何をしなければならないのかわかりません。

最近、アプリケーションの 1 つで Veracode を使用して静的セキュリティ スキャンを実行しました。

レポートは問題を示しています

壊れた、または危険な暗号アルゴリズムの使用 (CWE ID 327)

次のコード スニペットに表示されます

説明では、SHA1 を弱いアルゴリズムとして説明しています。

コードを変更し、SHA1 の代わりに SHA256 を使用して、ベラコード スキャンを再度実行しましたが、それでも同じ問題が発生します。

これに代わるものは何ですか？助言がありますか？